یک فایل پاورپوینت آلوده چه تاثیری بر رایانه شما خواهد داشت؟

هم رسان: چند ماه پیش نوشتیم بازکردن یک فایل MS Word ساده با استفاده از یک آسیب پذیری مهم و جدی در مایکروسافت آفیس چه تاثیراتی به دنبال خواهد داشت. آسیب پذیری اجرای از راه دور کد مایکروسافت (CVE-2017-0199) در رابط Windows Object Linking and Embedding (OLE) قرار دارد که یک پچ امنیتی در بهار سال جاری برای برطرف کردن آن منتشر شد، اما عوامل تهدید هنوز هم از نقص موجود به روش های مختلف سوء استفاده می‌کنند.

به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، محققان امنیتی به تازگی یک کمپین بدافزاری جدید کشف کرده‌اند که از همان اکسپلویت سابق استفاده می‌کند، اما برای اولین بار در یک فایل ارائه پاورپوینت (PPSX) خاص خود را مخفی کرده بود.
طبق یافته‌های محققان امنیتی Trend Micro که این کمپین بدافزاری را شناسایی کرده‌اند، این حمله هدفمند با یک پیوست ایمیل فیشینگ شروع می‌شود که ظاهراً از طرف یک تولید کننده کابل فرستاده شده است و شرکت‌های فعال در زمینه صنایع تولید الکترونیک را مورد هدف قرار می‌دهد.
محققان معتقدند این حمله شامل استفاده از یک آدرس ایمیل ساختگی به عنوان ایمیل مجاز ارسال شده از طرف بخش فروش و صدور صورت حساب است.

نحوه اجرای حملات
سناریو کامل حمله در زیر آمده است:
مرحله اول حمله با یک ایمیل شروع می‌شود که حاوی یک پیوست فایل پاورپوینت (PPSX) آلوده است که تظاهر می‌کند اطلاعات مربوط به یک درخواست سفارش را شامل می‌شود.
مرحله دوم زمانی که (PPSX) اجرا می‌شود، این فایل از یک فایل XML برنامه نویسی شده در آن فراخوانی می‌کند تا فایل logo.doc را از یک موقعیت دور دانلود کرده و آن را از طریق قابلیت انیمیشن‌های PowerPoint Show اجرا کند.
در مرحله سوم سپس بدافزار Logo.doc باعث آسیب پذیری CVE-2017-0199 می‌شود که فایل RATMAN.exe را بر روی سیستم هدف دانلود و اجرا می‌کند.
در مرحله چهارم فایل RATMAN.exe یک نسخه تروجان شده از ابزار Remcos Remote Control است که در هنگام نصب به مهاجمان اجازه می‌دهد تا کنترل رایانههای آلوده را از سرور فرمان و کنترل خود از راه دور به دست بگیرند.

Remcos یک ابزار قانونی و قابل تنظیم برای دسترسی از راه دور به یک سیستم است که به کاربران اجازه می‌دهد سیستم خود را از هر جای دنیا با قابلیت‌هایی نظیر دانلود و اجرای یک فرمان، کی لاگر، لاگر صفحه نمایش و ضبط از طریق وب کم یا میکروفون کنترل کنند.
از آنجا که این اکسپلویت برای ارائه اسناد Rich Text File (.RTF) استفاده می‌شود، بیشتر روش‌های تشخیص CVE-2017-0199 روی RTF تمرکز می‌کنند. بنابراین، استفاده از فایل‌های جدید PPSX به مهاجمین اجازه می‌دهد تا از تشخیص آنتی ویروس‌ها فرار کنند.
ساده‌ترین راه برای جلوگیری از جلوگیری کامل از این حمله، دانلود و اجرای پچ های امنیتی منتشر شده توسط مایکروسافت در بهار است که به آسیب پذیری CVE-2017-0199 می‌پردازند و آن را برطرف می‌کنند.